Qu'est-ce que l'authentification à deux facteurs (2FA) ?
- Glossaire IAM
- Qu'est-ce que l'authentification à deux facteurs (2FA) ?
L'authentification à deux facteurs (2FA) est un processus de sécurité dans lequel les utilisateurs fournissent deux facteurs d'authentification différents pour se vérifier. Cette méthode est une couche de sécurité additionnelle conçue pour garantir que la personne qui tente d'accéder à un compte en ligne est bien celle qu'elle prétend être. Le premier facteur est généralement un mot de passe ou un numéro d'identification personnel (PIN). Le second facteur peut varier : il peut s'agir d'objets physiques (comme une carte à puce ou un jeton de sécurité) d'éléments biométriques (comme une empreinte digitale ou la reconnaissance faciale) ou même d'une verification géographique.
Éléments de l'authentification à deux facteurs
L’authentification à deux facteurs (2FA) implique généralement la combinaison de deux types de méthodes d'authentification des catégories suivantes.
Facteur de connaissance – quelque chose que vous savez
Il peut s’agir d’un mot de passe, d’un code PIN ou d’une réponse à une question de sécurité.
Facteur de possession – quelque chose que vous avez
Il peut s'agir d'un jeton physique, comme une carte à puce ou une clé de sécurité USB, ou d'un jeton virtuel généré par une application d'authentification sur le smartphone d'un utilisateur. Ces jetons virtuels sont appelés mots de passe à usage unique (OTP) ou mots de passe à usage unique basés sur le temps (TOTP) .
Facteur biométrique - quelque chose que vous êtes
Données biométriques, telles qu’une empreinte digitale, une reconnaissance faciale ou un scan d'iris.
Facteur de localisation - quelque part où vous êtes
Votre situation géographique. Certaines applications et certains services ne sont accessibles qu'aux utilisateurs situés dans une zone géographique spécifique. Très souvent, Ce facteur d'authentification particulier est utilisé dans les environnements de sécurité Zero Trust.
Authentification à deux facteurs (2FA) et authentification multifacteur (MFA) : quelle différence ?
L'authentification à deux facteurs (2FA) est un processus de sécurité qui combine deux facteurs d'authentification différents. En revanche, l'authentification multifacteur (MFA) emploie au moins deux facteurs d'authentification mais peut en utiliser encore plus, offrant donc un niveau de sécurité plus élévé. En d'autres termes, la 2FA est un type de MFA, et la MFA peut exiger plus d'étapes d'authentification que la 2FA pour améliorer encore la sécurité. Pour en savoir plus, veuillez consulter cet article .
Authentification à deux facteurs et vérification en deux étapes : quelle différence ?
L'authentification à deux facteurs (2FA) exige des utilisateurs deux types différents d'informations d'identification afin de vérifier leur identité. Ces justificatifs proviennent d'un élément que l'utilisateur connaît (comme un mot de passe), d'un élément qu'il possède (comme un smartphone) ou d'un aspect intrinsèque de ses données biométriques (comme une empreinte digitale). L'authentification à deux facteurs nécessite donc l'utilisation de deux couches de sécurité complètement distinctes, renforçant ainsi la sécurité du processus d'authentification. Par conséquent, même si une information d'identification est compromise, la seconde reste en place pour protéger le compte.
A l'inverse, la vérification en deux étapes (également appelée authentification en deux étapes) implique une procédure exigeant des utilisateurs qu'ils accomplissent deux phases distinctes pour confirmer leur identité. Notamment, il est possible que ces phases ne nécessitent pas différents types d'informations d'authentification. Par exemple, l'étape initiale peut impliquer la saisie du mot de passe d'un utilisateur, suivie de l'utilisation d'un code temporaire envoyé sur son téléphone portable lors de l'étape suivante. L'aspect essentiel de la vérification en deux étapes est qu'elle exige deux actions distinctes, qui n'impliquent pas nécessairement différents types de justificatifs d'authentification.
| Caractéristique | Authentification à deux facteurs (2FA) | Vérification en deux étapes (2SV) |
|---|---|---|
| Définition | Nécessite deux types différents de facteurs d’authentification. | Nécessite deux étapes de vérification, qui peuvent provenir des mêmes types de facteurs ou bien des types différents. |
| Facteurs d'authentification | Utilise deux facteurs différents : quelque chose que vous connaissez (mot de passe), quelque chose que vous avez (jeton de sécurité, téléphone) ou quelque chose que vous êtes (vérification biométrique). | Peut utiliser deux instances du même type de facteur (par exemple, un mot de passe suivi d'un code envoyé par SMS) ou de types différents. |
| Niveau de sécurité | Généralement considéré comme plus sûr car il exige des utilisateurs deux types de preuves distincts, rendant donc l'accès non autorisé plus difficile. | Propose plus de sécurité qu'un seul mot de passe, mais peut être moins sûr que une authentification à deux facteurs si les deux étapes utilisent des facteurs similaires. |
Méthodes d'authentification pour 2FA
Il existe différentes méthodes pour implémenter une authentification à deux facteurs (2FA), et chaque méthode est sélectionnée en fonction des besoins de l'utilisateur et de ses exigences de sécurité. Vous trouverez ci-dessous quelques méthodes courantes de 2FA.
1. Authentification par SMS
Dans l'authentification par SMS, lorsqu'un utilisateur tente de se connecter, un code d'authentification temporaire est envoyé par le serveur au téléphone mobile de l'utilisateur. L'utilisateur doit saisir ce code d'authentification lors du processus de connexion. L'avantage de cette méthode est qu'elle s'implémenter très facilement puisque la plupart des utilisateurs disposent d'un téléphone mobile. Cependant, il existe des risques de sécurité tels que l'interception de messages SMS et les attaques par échange de carte SIM , c'est pourquoi cette méthode n'est pas recommandée si d'autres options sont disponibles.
2. Applications d'authentification
L'utilisation d'applications d'authentification (par ex. : certains gestionnaires de mots de passe, Google Authenticator, Authy) comme un facteur d'authentification dans un système 2FA est plus sûre que l'authentification par SMS. Dans cette méthode, les utilisateurs génèrent un code d'authentification temporaire à l'aide d'une application d'authentification sur leur smartphone. Ce code doit être saisi au moment de la connexion. Le code d'authentification change toutes les quelques secondes, renforçant la sécurité. De plus, il ne nécessite pas de connexion Internet et peut donc être utilisé dans des environnements hors ligne.
3. Clés de sécurité physiques
L'utilisation de clés de sécurité physiques (par exemple, YubiKey) permet aux utilisateurs de s'authentifier en connectant un périphérique USB ou NFC spécifique à leur ordinateur ou smartphone. Cette méthode est considérée comme très efficace contre les attaques de phishing. Étant donné que la clé de sécurité est un bien physique, elle réduit considérablement le risque d'accès non autorisé, mais le risque de perte de la clé doit également être pris en compte.
4. Authentification biométrique
L'authentification biométrique utilise les données biométriques de l'utilisateur, telles que les empreintes digitales, la reconnaissance faciale ou la reconnaissance d'iris, pour l'authentification. Cette méthode est très pratique pour les utilisateurs et offre une sécurité élevée. L'authentification biométrique est largement prise en charge sur les appareils mobiles et certains des ordinateurs les plus récents. Cependant, comme les informations biométriques ne peuvent pas être modifiées, il faut aussi prendre en compte le risque de fuite d'informations.
